Problem wirus Ukash

[dominator1984]

Witam, mam problem, komputer został zainfekowany przez typowy wirus wyłudzający kaskę. Dołaczączam logi z OTL

 

EDIT: Dodaje raport z OTL. Ale Otl wygenerował tylko plik OTL.txt, Czy to normalne ?

OTL.Txt

[picasso]

Nieprawidłowe raporty z OTL, zrobione z poziomu nie tego konta co należy, czyli wbudowanego w system Administratora a nie konta użytkownika:

 

Computer Name: BYWALEC-7398235 | User Name: Administrator | Logged in as Administrator.

 

To konto nie było nawet aktywne przed akcją. Konta mają inne rejestry i foldery. Zaloguj się na właściwe konto, zrób nowe logi z OTL, podmień załączniki w pierwszym poście i na PW daj znać o edycji.

 

 

EDIT: dominator1984 nie czytasz uważnie. Po pierwsze: nie miałeś tworzyć nowego posta, tylko zedytować pierwszy i wymienić pliki usuwając wadliwe (posty skleiłam, stare załączniki wyrzuciłam). Po drugie: nie czytałeś chyba tutejszej instrukcji tworzenia OTL, skoro dziwi Cię brak Extras., a w instrukcji jest to właśnie opisane: KLIK.

 

Twój system jest ostro zabrudzony, różne infekcje bądź ślady po nich oraz adware. Infekcja UKASH to mniejszy problem, w systemie działa także rootkit ZeroAccess, który ma o wiele mocniejsze działania i uszkadza też usługi w rejestrze.

 

1. Start > Uruchom > regedit i z prawokliku skasuj klucz:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

Zresetuj system w celu odładowania ZeroAccess z pamięci.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
E:\WINDOWS\Installer\{e9b486d7-01a7-9008-3b6f-3dbacc5995dd}
E:\Documents and Settings\Użytkownik\Ustawienia lokalne\Dane aplikacji\{e9b486d7-01a7-9008-3b6f-3dbacc5995dd}
E:\Documents and Settings\Użytkownik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1756
E:\Documents and Settings\Użytkownik\Dane aplikacji\hellomoto
E:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\vmn8057u.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
E:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\vmn8057u.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
E:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\vmn8057u.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
E:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\vmn8057u.default\extensions\DTToolbar@toolbarnet.com
E:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\vmn8057u.default\extensions\ffxtlbr@babylon.com
E:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\vmn8057u.default\extensions\ffxtlbr@funmoods.com
E:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\vmn8057u.default\searchplugins\aol-web-search.xml
E:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\vmn8057u.default\searchplugins\conduit.xml
E:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\vmn8057u.default\searchplugins\daemon-search.xml
E:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\vmn8057u.default\searchplugins\funmoods.xml
E:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\vmn8057u.default\searchplugins\speedbit.xml
E:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\vmn8057u.default\searchplugins\sweetim.xml
E:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
E:\Program Files\mozilla firefox\searchplugins\babylon.xml
E:\found.*
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"searchpredict@speedbit.com"=-
"{0329E7D6-6F54-462D-93F6-F5C3118BADF2}"=-
"avg@toolbar"=-
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={A2E3E4D9-F5BE-11E0-8829-001F1F60912E}"
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.funmoods.com/?a=ironto&s={searchTerms}&f=4"
IE - HKCU\..\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}: "URL" = "http://home.speedbit.com/search.aspx?aff=206&q={searchTerms}"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={3CBC7AD6-F044-480A-A557-56F4F2DA5B3F}&mid=6a23636149cb4502887813a11afc3b93-b602d594afd2b0b327e07a06f36ca6a7e42546d0&lang=pl&ds=ik011&pr=&d=2012-09-23 14:16:54&v=12.2.5.34&sap=dsp&q={searchTerms}"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={A2E3E4D9-F5BE-11E0-8829-001F1F60912E}"
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found.
O4 - HKLM..\Run: [themecpl] E:\Documents and Settings\Użytkownik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1756\themecpl.exe ()
O4 - HKCU..\Run: [wsctf.exe] wsctf.exe File not found
O8 - Extra context menu item: Download ALL with IDA - Reg Error: Value error. File not found
O8 - Extra context menu item: Download remotely with IDA - Reg Error: Value error. File not found
O8 - Extra context menu item: Download with IDA - Reg Error: Value error. File not found
O8 - Extra context menu item: Search the Web - E:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()
DRV - File not found [Kernel | On_Demand | Stopped] -- Üü!\Via4in1.sys -- (Via4in1)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada UKASH zniknie.

 

3. Przez Panel sterowania odinstaluj adware 1ClickDownload, AVG Security Toolbar, Babylon toolbar, DAEMON Tools Toolbar, Funmoods, SweetIM Toolbar, Speedbit, Winamp Toolbar. Tak, Speedbit to nie pomyłka, to siedlisko adware SearchPredict.

 

4. Zresetuj plik preferencji Firefox. Zamknij przeglądarkę (nie może być uruchomiona) i przenieś na Pulpit ten plik:

 

E:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\vmn8057u.default\prefs.js

 

Uruchom Firefox (utworzy nowy czysty prefs.js), poustawiaj ręcznie w opcjach takie rzeczy jak strona startowa, bo po w/w procedurze wszystko będzie w stanie domyślnym.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku E powstanie log z usuwania. Zaprezentuj go.

 

6. Zrób nowe logi: OTL z opcji Skanuj (przypominam o Extras) + Farbar Service Scanner + GMER. Uruchomienie GMER wymaga usunięcia oprogramowania emulującego napędy + sterownika SPTD: KLIK.

 

Oczywiście teraz już odpowiadasz w nowym poście.

 

 

 

.

Edytowane 17 Listopada 2012 przez picasso
17.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso